網站安全是整個網站運營中最重要的一部分,網站沒有了安全,那用戶的隱私如何保障,在
網站中進行的任何交易,支付,用戶的註冊信息都就沒有了安全保障,所以網站安全做好了,才能
更好的去運營一個網站,我們eSafe白帽資安網在對客戶進行網站安全部署與檢測的同時,發現網站的業務
邏輯漏洞很多,尤其暴利破解漏洞。
網站安全裡的用戶密碼暴利破解,是目前業務邏輯漏洞裡出現比較多的一個網站漏洞,其實暴力破
解簡單來說就是利用用戶的弱口令,比如123456,111111,22222,admin等比較常用的密碼,
來進行猜測並嘗試登陸網站進行用戶密碼登陸,這種攻擊方式,如果網站在設計當中沒有設計好
的話,後期會給網站主機後端帶來很大的壓力,可以給網站造成打不開,以及主機癱瘓等影
響,甚至有些暴力破解會利用工具,進行自動化的模擬攻擊,線程可以開到100-1000瞬時間就可
以把主機的CPU搞爆,大大的縮短了暴力破解的時間甚至有時幾分鐘就可以破解用戶的密碼。
解簡單來說就是利用用戶的弱口令,比如123456,111111,22222,admin等比較常用的密碼,
來進行猜測並嘗試登陸網站進行用戶密碼登陸,這種攻擊方式,如果網站在設計當中沒有設計好
的話,後期會給網站主機後端帶來很大的壓力,可以給網站造成打不開,以及主機癱瘓等影
響,甚至有些暴力破解會利用工具,進行自動化的模擬攻擊,線程可以開到100-1000瞬時間就可
以把主機的CPU搞爆,大大的縮短了暴力破解的時間甚至有時幾分鐘就可以破解用戶的密碼。
在我們eSafe白帽資安網對客戶網站漏洞檢測的同時,我們都會去從用戶的登錄,密碼找回,用戶註冊,二
級密碼等等業務功能上去進行安全檢測,通過我們十多年來的安全檢測經驗,我們來簡單的介紹一
下。
級密碼等等業務功能上去進行安全檢測,通過我們十多年來的安全檢測經驗,我們來簡單的介紹一
下。
首先我們來看下,暴力破解的模式,分身份驗證碼模塊暴利破解,以及無任何防護,IP鎖定機制
,不間斷撞庫,驗證碼又分圖片驗證碼,短信驗證碼,驗證碼的安全繞過,手機短信驗證碼的爆
破與繞過等等幾大方面。
,不間斷撞庫,驗證碼又分圖片驗證碼,短信驗證碼,驗證碼的安全繞過,手機短信驗證碼的爆
破與繞過等等幾大方面。
無任何防護的就是網站用戶在登錄的時候並沒有限制用戶錯誤登錄的次數,以及用戶註冊的次數
,重置密碼的吃書,沒有用戶登錄驗證碼,用戶密碼沒有MD5加密,這樣就是無任何的安全防護
,導致攻擊者可以趁虛而入,暴力破解一個網站的用戶密碼變的十分簡單。
,重置密碼的吃書,沒有用戶登錄驗證碼,用戶密碼沒有MD5加密,這樣就是無任何的安全防護
,導致攻擊者可以趁虛而入,暴力破解一個網站的用戶密碼變的十分簡單。
IP鎖定機制就是一些網站會採用一些安全防護措施,當用戶登錄網站的時候,登錄錯誤次數超
過3次,或者10次,會將該用戶賬號鎖定並鎖定該登錄賬戶的IP,IP鎖定後,該攻擊者將無法登
錄網站。
過3次,或者10次,會將該用戶賬號鎖定並鎖定該登錄賬戶的IP,IP鎖定後,該攻擊者將無法登
錄網站。
驗證碼破解與繞過,在整個網站安全檢測當中很重要,一般驗證碼分為手機短信驗證碼,微信
驗證碼,圖片驗證碼,網站在設計過程中就使用了驗證碼安全機制,但是還是會繞過以及暴利
破解,有些攻擊軟件會自動的識別驗證碼,目前有些驗證碼就會使用一些拼圖,以及特殊字體
,甚至有些驗證碼輸入一次就可以多次使用,驗證碼在效驗的時候並沒有與數據庫對比,導致
被繞過。
驗證碼,圖片驗證碼,網站在設計過程中就使用了驗證碼安全機制,但是還是會繞過以及暴利
破解,有些攻擊軟件會自動的識別驗證碼,目前有些驗證碼就會使用一些拼圖,以及特殊字體
,甚至有些驗證碼輸入一次就可以多次使用,驗證碼在效驗的時候並沒有與數據庫對比,導致
被繞過。
關於網站出現邏輯漏洞該如何修復漏洞呢?
首先要設計好IP鎖定的安全機制,當攻擊者在嘗試登陸網站用戶的時候,可以設定一分鐘登陸
多少次,登陸多了就鎖定該IP,再一個賬戶如果嘗試一些特殊操作,比如找回密碼,找回次數
過多,也會封掉該IP。
多少次,登陸多了就鎖定該IP,再一個賬戶如果嘗試一些特殊操作,比如找回密碼,找回次數
過多,也會封掉該IP。
驗證碼識別防護,增加一些語音驗證碼,特殊字體驗證碼,拼圖下拉驗證碼,需要人手動操作
的驗證碼,短信驗證碼一分鐘只能獲取一次驗證碼。
的驗證碼,短信驗證碼一分鐘只能獲取一次驗證碼。
驗證碼的生效時間安全限制,無論驗證碼是否正確都要一分鐘後就過期,不能再用。所有的用戶
登錄以及註冊,都要與後端主機進行交互,包括數據庫主機。
登錄以及註冊,都要與後端主機進行交互,包括數據庫主機。